El sector público se consolidó como el principal objetivo de los ciberdelincuentes por segundo año consecutivo, concentrando el 19% de todos los incidentes de alta gravedad registrados en 2025, según el informe global “Anatomy of a Cyber World” de Kaspersky Security Services.
Le sigue el sector industrial con un 17%, mientras que el sector IT asciende al tercer puesto con un 15%, desplazando al sector financiero de las tres industrias más atacadas.
El informe se basa en datos de Kaspersky Managed Detection and Response, Incident Response, Compromise Assessment y SOC Consulting, y analiza las principales tácticas, técnicas y herramientas utilizadas por los atacantes, así como la distribución de los incidentes por regiones y sectores.
Un ciberataque dirigido contra entidades gubernamentales, empresas industriales o compañías tecnológicas puede derivar en interrupciones de servicios esenciales, filtración de datos confidenciales, afectaciones en cadenas de suministro e impactos económicos y reputacionales de gran escala.
La creciente sofisticación y profesionalización de los ataques dificulta su detección temprana y permite a los ciberdelincuentes permanecer dentro de las redes durante largos períodos sin ser identificados.
Sector público: APT e ingeniería social como vectores dominantes
Los organismos gubernamentales continúan siendo el principal objetivo de los ciberdelincuentes. Las amenazas persistentes avanzadas representan el 33,3% de los incidentes, lo que refleja el alto nivel de sofisticación de los ataques. Además, el 18,9% de las organizaciones públicas sufrió ciberataques de ingeniería social, lo que pone de relieve que los empleados siguen siendo un punto de entrada clave.
Esta doble exposición evidencia la necesidad de reforzar no solo la tecnología sino también la resiliencia organizativa. Medidas como el control de accesos basado en roles o la limitación de privilegios pueden reducir significativamente el impacto de cuentas comprometidas en entornos públicos de gran escala.
Sector industrial: perfil de riesgo diversificado
El sector industrial presenta un perfil de riesgo diverso: los incidentes relacionados con amenazas persistentes avanzadas representan el 17,8%, el malware el 14,9% y la ingeniería social el 13,9%. Este reparto refleja que estas organizaciones atraen a distintos tipos de atacantes con objetivos variados.
Los ejercicios de red teaming representan el 22,8% de los incidentes en este sector, el porcentaje más alto entre las principales industrias, lo que indica una mayor inversión en validación proactiva de la seguridad.
Sector IT: la mayor concentración de ataques avanzados
El sector IT muestra la concentración más alta de ataques avanzados: el 41% de los incidentes está vinculado a amenazas persistentes avanzadas con intervención humana, la tasa más elevada de todos los sectores. En un 17% de los casos se identificaron rastros de ataques previos, mientras que la ingeniería social representa el 11%.
El sector financiero pierde peso como objetivo prioritario
A diferencia de otros sectores, el financiero salió del top tres de industrias más atacadas. Los ejercicios de red teaming representan el 36,1% de los incidentes, lo que refleja un enfoque más maduro y orientado al cumplimiento normativo en ciberseguridad.
La actividad de amenazas persistentes avanzadas confirmada se mantiene en niveles relativamente bajos, con un 11,5%, lo que sugiere que la inversión sostenida en evaluación de seguridad puede ayudar a identificar vulnerabilidades de forma temprana.
Claudio Martinelli, director general para Américas en Kaspersky, señala que “los sectores público, industrial y tecnológico se han convertido en objetivos prioritarios para grupos de amenazas avanzadas porque concentran información sensible, operaciones críticas y amplias cadenas de suministro interconectadas”.
“Al mismo tiempo, estos sectores usualmente poseen niveles menores de capacitación o madurez en ciberseguridad. Lo que observamos en 2025 es una evolución hacia ataques mucho más dirigidos, silenciosos y persistentes, donde los actores maliciosos buscan mantenerse dentro de las redes el mayor tiempo posible para extraer información, escalar privilegios o preparar futuras operaciones. En este escenario, la capacidad de detectar actividad sospechosa en etapas tempranas y responder rápidamente se vuelve tan importante como la prevención misma”, continuó.
Para reforzar la protección frente a ataques con intervención humana, los analistas de Kaspersky recomiendan:
- Segmentar accesos críticos. Muchas de las amenazas avanzadas buscan moverse dentro de la red una vez obtienen acceso inicial. Limitar los privilegios de usuarios y sistemas, segmentar entornos críticos y revisar periódicamente los accesos puede reducir significativamente el impacto de una cuenta comprometida y dificultar la propagación de los atacantes dentro de la organización.
- Fortalecer la detección y respuesta 24/7. En ataques dirigidos, la prevención por sí sola no es suficiente, ya que los ciberdelincuentes suelen buscar formas de permanecer ocultos dentro de la red. Por eso, es clave contar con capacidades de monitoreo continuo, detección gestionada y respuesta ante incidentes que ayuden a identificar actividad sospechosa, contener amenazas y reducir el tiempo de exposición.
- Evaluar la madurez del centro de operaciones de seguridad. Las organizaciones deben revisar si sus procesos, herramientas y equipos están preparados para responder al panorama actual de amenazas, mejorar los flujos de detección y respuesta, y asegurar que las capacidades internas estén alineadas con los riesgos reales de cada industria.
- Centralizar y automatizar el análisis de amenazas. Frente a ataques complejos, la información aislada puede retrasar la respuesta. Las soluciones de detección y respuesta extendida permiten correlacionar datos de múltiples fuentes, priorizar alertas relevantes y automatizar acciones de respuesta para que los equipos de seguridad actúen con mayor rapidez y precisión.
